HijackThis简明教程

      也算技术? 2004-11-15 19:56
HijackThis简明教程
HijackThis是一款英文免费软件,由荷兰的一名学生merijn开发。其个人主页上有merijn自己的简介(http://merijn.org/index.html),并提供其利用业余时间开发的软件供大家下载。HijackThis能够扫描注册表和硬盘上的特定文件,找到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是,这些内容也可能正由正常的程序在使用,所以不能草率处理,必须经过分析。
HijackThis扫描的内容十分详尽,并且可以修复大部分被恶意修改的内容。尤其值得一提的是它的日志,HijackThis可以把扫描的内容保存为日志文件,并直接用记事本(notepad)打开。使用者可以把它的日志直接发在帖子里,以方便热心人帮助解决问题。
本文简单介绍HijackThis软件的使用方法,并提供HijackThis日志文件的初步分析方法供大家参考。

HijackThis软件下载地址:
原始网站
mjc1.com/mirror/hjt/
华军软件园
www.onlinedown.net/soft/16091.htm
天空软件站
www.skycn.com/soft/13334.html
汉化版(感谢Qoo酷儿)
www.hanzify.org/index.php?Go=Show::List&ID=5235
请参考
community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3095567&page=1




下面部分,所有可能出现在log文件中的项已经分组排列,方便大家参考。)

组别——R

R – 注册表中的默认起始主页和默认搜索页的改变
R0 - 默认页改变
R1 - 新建的注册表值(V),或称为键值
R2 - 新建的注册表项(K),或称为键
R3 - 在本来应该只有一个键值的地方新建的额外键值

说明:
R0、R1、R2、R3 都是IE的默认起始主页和默认搜索页的改变

举例:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
这是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
这是3721网络实名
R3 - Default URLSearchHook is missing
这是报告发现一个错误。此错误可以用HijackThis修复。

处理方法:
如果你认得后面的网址,知道它是安全的,甚至那就是你自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。对于R3,一般总是要选修复,除非它指向一个你认识的程序(比如百度搜索和3721网络实名)。

组别——F

F - ini文件中的自动运行程序。
F0 - ini文件中改变的值
F1 - ini文件中新建的值

说明:
F0, F1 - 这都是ini文件(system.ini、win.ini)中启动的自动运行程序。

举例:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后面又启动了一个Openme.exe,这个Openme.exe十分可疑。在win.ini中,启动了hpfsched这个程序,需要分析。

处理方法:
基本上,F0提示的Explorer.exe后面的程序总是有问题的,一般应该修复。
F1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字,在电脑上查找一下,具体问题具体分析。

组别——N

N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变
N1 - Netscape 4.x中,prefs.js的改变。
N2 - Netscape 6中,prefs.js的改变。
N3 - Netscape 7中,prefs.js的改变。
N4 - Mozilla中,prefs.js的改变。

说明:
N1、N2、N3、N4 - 这都是Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变。

举例:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
上面的例子列出了现在的默认页和相关配置文件的位置。

处理方法:
一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的,很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复它。

组别——O(这是字母O哦!)

O - 其它类,包含很多方面,下面一一详述。

O1 - 在Hosts文件中将默认搜索页重新定向。

说明:O1出现,表明在Hosts文件中,默认搜索页可能被重新定向了。这里出现的其实不仅是搜索页,通过Hosts文件,可以把各种网页和不属于它的IP地址联系起来。

举例:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。

处理方法:
一般你应该修复它,除非是你自己在Hosts文件中如此设置的。

该帖于【2004-3-19 20:35:25】被【风之咏者】修改

O2 - 列举现有的IE浏览器的BHO模块。

说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块。

常见项举例:
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
这是影音传送带(Net Transport)的模块。
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
这是网际快车(FlashGet)的模块。
O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
这是百度搜索的模块。
O2 - BHO: (no name) - {6231D512-E4A4-4DF2-BE62-5B8F0EE348EF} - C:\PROGRAM FILES\3721\CES\CESWEB.DLL
这是3721的中文邮(我没用过,这个不确定)。
O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL
这是3721上网助手的模块。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
这是Adobe Acrobat Reader(用来处理PDF文件)的模块。

相关资料查询地址举例:
www.sysinfo.org/bholist.php
www.spywareinfo.com/bhos/
(通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。)

处理方法:
这个必须仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。


标签集:TAGS:
回复Comments() 点击Count()

回复Comments

{commentauthor}
{commentauthor}
{commenttime}
{commentnum}
{commentcontent}
作者:
{commentrecontent}